2019年5月13日國家市場監(jiān)督管理總局正式發(fā)布了《信息安全技術網(wǎng)絡安全等級保護基本要求》2.0版本（簡稱等保2.0），于2019年12月1日已經(jīng)正式實施。早在十多年前，2007年和2008年國家頒布實施的《信息安全等級保護管理辦法》與《信息安全等級保護基本要求》被稱為等保1.0，這為我國網(wǎng)絡安全事業(yè)發(fā)展奠定了堅實的基礎。

相對于等保1.0來講，等保2.0是為了適應新技術的發(fā)展，解決云計算、物聯(lián)網(wǎng)與移動互聯(lián)、工控領域等級保護的需要，信息系統(tǒng)等級保護的要求更加細化嚴格，可以說是在網(wǎng)絡安全等級保護制度過程中具有里程碑的意義。

以等保三級為例，以下通過等保1.0和等保2.0的具體要求進行比較，并給出相應的等保2.0的應對解決方案。

數(shù)據(jù)權限管理解決方案

等保2.0中該測評單元包括以下要求

a） 測評指標：訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。

b） 測試對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡設備（包括虛擬網(wǎng)絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。

c） 測評實驗：應核查訪問控制策略的控制粒度是否達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表、記錄或字段級。

ADM解決方案：

等保2.0中對數(shù)據(jù)的訪問控制要求更為精細，要求訪問控制的粒度應達到數(shù)據(jù)庫表級和字段級，這就導致傳統(tǒng)的運維安全審計產(chǎn)品不再能滿足等級保護的測評要求，而上訊信息ADM平臺的數(shù)據(jù)權限管理解決方案此時登場，通過數(shù)據(jù)庫訪問權限管控與數(shù)據(jù)動態(tài)脫敏的功能結合，實現(xiàn)細化到數(shù)據(jù)庫表、字段級、記錄的權限管控，并對不具備查看原始數(shù)據(jù)權限的數(shù)據(jù)做相應的動態(tài)脫敏處理。

01采用虛擬賬號，消除訪問隱患

ADM內置權限匹配的功能，根據(jù)具體屬性制定訪問策略，做到事前控制、事中跟蹤、事后識別全程記錄訪問者，嚴格控制訪問行為。

02縮小訪問粒度，管控訪問細節(jié)

所有SQL指令經(jīng)過ADM過濾，掃描出所有的訪問屬性，首次將訪問粒度縮小至數(shù)據(jù)庫表級、數(shù)據(jù)庫字段級，滿足等保2.0對數(shù)據(jù)訪問控制的客體要求。

03屬性動態(tài)靈活，提高訪問安全

ADM訪問控制技術的優(yōu)勢在于能夠動態(tài)識別客戶端發(fā)出的所有訪問行為，替換真值返回受限訪問結果，不局限于數(shù)據(jù)自身特征預定的固定、靜態(tài)的敏感策略，因此在保證數(shù)據(jù)安全訪問的前提下，增加了數(shù)據(jù)訪問的靈活性。

通過創(chuàng)建訪問用戶，對訪問用戶設置訪問權限，限定該用戶可訪問數(shù)據(jù)庫中的哪些表，進而對訪問用戶的特殊行為，比如insert、update、select、delete、drop、truncate等操作進行阻斷或審批后允許操作，ADM建立了一套完整的數(shù)據(jù)訪問控制流程，杜絕了權限設置過大造成的管控遺漏現(xiàn)象、賬號共享導致的越權訪問以及數(shù)據(jù)訪問過程中喪失靈活性的問題。

上訊信息ADM產(chǎn)品通過數(shù)據(jù)權限管理解決方案，助力企業(yè)打造更高安全級別的網(wǎng)絡安全堡壘，順利通過等保2.0訪問控制方向的安全等級測評，未來，上訊信息將不遺余力地為網(wǎng)絡安全事業(yè)發(fā)展提供更多強有力的解決方案！